El Sun, 28 Sep 2014 15:45:35 +0200, Eduardo Rios escribió:
El 28/09/14 a las 15:35, Manolo Díaz escribió:
El domingo, 28 sep 2014 a las 15:16 horas (UTC+2), Eduardo Rios
escribió:
El 25/09/14 a las 20:54, Eduardo Rios escribió:
El 25/09/14 a las 20:01, Angel Vicente escribió:
Para testing todavía no hay ¿no?
A mi por lo menos si me ha salido actualización, aunque eso si, sólo
para el primer fallo. Queda pendiente para el segundo.
He pasado de bash 4.3-9 a 4.3-9.1
Hoy he actualizado a bash 4.3-9.2 y creía que estaba resuelto el
segundo fallo, pero no, sigue siendo vulnerable.
Te ha dado fuerte con el bug ¿eh? :-)
Pues yo diría que ya no lo es:
https://security-tracker.debian.org/tracker/CVE-2014-7169
Exacto, no lo es.
Pues ahí dirá que no, pero teniendo bash 4.3-9.2, este es el resultado:
edurios@debian:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear"
vulnerable Fallo 2 sin parchear
edurios@debian:~$
En wheezy dice lo mismo:
sm01@stt008:~$ env X='() { (a)=>\' sh -c "echo vulnerable"; bash -c "echo Fallo 2 sin parchear"
vulnerable
Fallo 2 sin parchear
El comando será incorrecto, prueba con estos otros dos:
http://serverfault.com/questions/631257/how-to-test-if-my-server-is-vulnerable-to-the-shellshock-bug
Saludos,